USB-apparaten bieden een handige manier om gegevens over te dragen tussen twee computers.
We gebruiken ze al jaren en zo goed als iedereen bezit er wel één. Echter moeten we ons de vraag stellen of zij wel voldoende veiligheid bieden wanneer persoonsgegevens worden overgedragen.
We zullen in deze blog de mogelijke risico’s van USB-sticks beschrijven.
1. Overdracht van persoonlijke gegevens via een USB-stick
Gegevens kunnen op gemakkelijk en efficiënte op een USB-stick worden gezet en worden dan ook al vele jaren door zowat iedereen gebruikt, echter moeten we ons in het kader van de GDP de vraag stellen of we ze wel kunnen blijven gebruiken.
De kleine fysieke omvang en grote gegevenscapaciteit betekent echter dat grote hoeveelheden persoonlijke gegevens relatief gemakkelijk verloren of gestolen kunnen worden.
USB-beveiliging: Risico’s van verlies en gevolgen voor gevoelige bedrijfsgegevens
USB’s stellen ons in staat om altijd en overal toegang te krijgen tot kritieke informatie, kopieën te maken of bestanden te verwerken. Dit verhoogt de efficiëntie en productiviteit, maar onbeperkte flexibiliteit en mobiliteit heeft een prijs.
Wat wil dat zeggen?
Dat betekent dat het belangrijk is om ervoor te zorgen dat enkel U en eventueel uw klanten toegang hebben tot persoonlijke gegevens.
Dit klink echter gemakkelijker dan dat het in werkelijkheid is.
Volgens onderzoek van Kingston Technology zou 75% van de respondenten USB-sticks kwijtraken, waarvan vele vertrouwelijke bedrijfsgegevens bevatten.
Bovendien bleek uit het onderzoek ook dat 80 % van de gebruikte datastores niet beschikt over een op hardware gebaseerde codering. Het kwijtraken van USB-sticks kan dus immens grote gevolgen hebben. Zo brengt het verlies van persoonsgegevens de klantrelaties in gevaar en kan het de reputatie van het bedrijf schaden. Afhankelijk van in wiens handen deze informatie valt, kunnen de gevolgen nog erger zijn.
Impact op bedrijven wereldwijd
Om dergelijke scenario’s te voorkomen, dwingt de GDPR bedrijven om stappen te ondernemen om gevoelige informatie te beschermen. Het is belangrijk op te merken dat de regels niet alleen van toepassing zijn op in de EU gevestigde bedrijven, maar ook op bedrijven die zakelijke relaties hebben met EU-bedrijven die gegevens verwerken.
2. Waarom zijn USB-sticks kwetsbaar?
Om gegevensverlies te voorkomen, is het belangrijk om te analyseren en te identificeren welke bestanden gevoelige informatie bevatten. USB-sticks die door het hele bedrijf en thuis door medewerkers worden gebruikt, zijn vaak een onderschat risico.
Ondernemingen dienen op elk moment te kunnen aantonen welke gegevens op de individuele sticks zijn opgeslagen en of deze versleuteld of niet-versleuteld zijn.
Kosten, Gevolgen en Geavanceerde Beschermingsmechanismen
De GDPR stelt ook dat de vereiste risicoanalyse ook de potentiële kosten omvat die in verhouding tot het risico worden berekend. Deze inschatting omvat de waarschijnlijkheid van gegevensverlies en de gevolgen van mogelijke schade die hierdoor ontstaat. Beschermingsmechanismen die worden ingevoerd, moeten ook voldoen aan de nieuwste beschikbare geavanceerde systemen.
Aanbevelingen en Controle over Opslaglocaties
Aanbevelingen van autoriteiten zoals het Federaal Bureau voor Informatiebeveiliging (BSI) of het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (ENISA) kunnen worden gebruikt als het gaat om vragen over de betekenis van de term “state of the art”.
De eerste stap zou moeten zijn om een volledig overzicht te hebben van alle opslaglocaties van persoonlijke gegevens, zodat u de controle houdt en een idee krijgt van waar de meest urgente actie nodig is of waar een datalek tot de meest extreme gevolgen kan leiden.
3. Gevolgen van het verliezen van een USB-stick
Het verliezen van een USB-stick met persoonsgegevens is op grond van de GDPR een datalek.
Sinds 1 januari 2016 geldt de Meldplicht Datalekken en dat betekent dat bedrijven onmiddellijk de bevoegde gegevensbeschermingsautoriteit moeten inlichten zodra er een risico is op een datalek.
Doen ze dit niet, dan overtreden ze de GDPR en kan de gegevensbeschermingsautoriteit boetes opleggen die tot in de miljoenen kunnen oplopen.
Porsche Datalek: Verlies van USB-stick met factuurgegevens van klanten
Het verliezen van een USB-stick is snel gebeurd en de gevolgen daarvan zijn vaak onomkeerbaar. Zo werden in 2020 een USB-stick gestolen bij één van de vestigingen van het bedrijf Porsche.
Het betrof hier factuurgegevens van klanten die tussen 2009 en 2017 een wagen hadden gekocht. Op de usb-stick stonden de volgende persoonsgegevens: namen, adressen, e-mailadressen, en ‘facturatiegegevens’.
4. Hoe kan men een USB-stick veilig gebruiken?
Er bestaat de mogelijkheid om persoonlijke gegevens te versleutelen door de bestanden in een versleutelde container op een USB-apparaat te plaatsen, maar de ontvanger moet dan wel toegang hebben tot hetzelfde versleutelingsalgoritme of dezelfde software.
Er zijn ook hardware-gecodeerde USB-apparaten beschikbaar die de nodige coderingsmogelijkheden bevatten die in het apparaat zijn ingebouwd, wat betekent dat de gegevens kunnen worden gedecodeerd zonder dat de gebruiker extra software hoeft te installeren.
Vanwege een aantal beveiligingsrisico’s bij het toestaan van het gebruik van USB-apparaten, hebben een aantal organisaties beleid geïmplementeerd dat de functionaliteit van USB-apparaten verbiedt of technisch beperkt.
USB-drives: Legitieme toepassingen en veiligheidsmaatregelen voor bedrijven
Er zijn veel legitieme toepassingen voor USB-drives en veel bedrijven blijven hier dan ook de voorkeur aan geven voor het verplaatsen van grote bestanden, het onderhouden van back-ups, het beschermen tegen ransomware-aanvallen en het helpen herstellen van onderbrekingen, samen met een mobiele manier om toegang te krijgen tot gegevens.
Daarnaast is er ook de mogelijkheid om een methode te overwegen om de sleutel of het wachtwoord via een apart communicatiekanaal aan de ontvanger over te dragen.
Sommige bedrijven implementeren ook zichtbaarheidstools waarmee ze het gebruik van USB-drives kunnen beheren, met de mogelijkheid om de verplaatsing van gegevens naar drives te blokkeren.
Beheer van toegang en blokkeren indien nodig
Door de mogelijkheid toe te voegen om het gebruik van deze apparaten bij te houden, kunt u bepalen wie er wel of niet toegang toe heeft. Wat nog belangrijker is, het stelt u in staat om de toegang waar nodig te blokkeren. Deze methode kan zee nuttig zijn voor grotere bedrijven met meerdere gebruikers.
Er zijn verschillende tools die tracking bieden, zoals My USB Tracker en IHound. Als dit een pad is dat u voor uw klant wilt inslaan, zijn deze de moeite waard om te bekijken.
Conclusie
Uit al het bovenstaande kunnen we concluderen dat een bedrijf niet GDPR-compliant zal zijn zonder te maken te hebben met USB-gegevensverlies. Een alternatieve of betere beveiliging voor USB-apparaten moet worden overwogen.
Indien u nog vragen heeft rond uw gegevensbeheer- en beveiligingsprocessen en uw naleving van de GDPR, contacteer dan een erkend DPO.
